Casdoor项目中用户密码加密问题的分析与解决

背景介绍

Casdoor作为一个开源的身份和访问管理(IAM)系统，用户密码安全是其核心功能之一。在最新版本中发现了一个潜在的安全隐患：当组织管理员将密码存储算法设置为bcrypt后，新创建用户的密码在数据库中仍然以明文形式存储。

问题分析

在深入分析代码后，发现问题的根源在于controllers/user.go文件中的SetPassword函数实现。该函数直接将用户输入的原始密码赋值给targetUser.Password字段，而没有经过任何加密处理。这与组织设置的密码存储算法(bcrypt)产生了矛盾，导致安全策略未能正确执行。

技术细节

密码加密通常在两个环节进行：

1. 用户注册时对新密码进行加密
2. 密码修改时对更新后的密码进行加密

在Casdoor的实现中，SetPassword函数负责密码修改操作，但缺少了关键的加密步骤。正确的实现应该先获取组织配置的密码算法，然后对输入密码进行相应加密处理，最后再存储加密后的结果。

解决方案

开发团队在版本1.626.0中修复了这个问题，主要修改包括：

1. 在SetPassword函数中添加密码加密逻辑
2. 确保使用组织配置的密码算法进行加密
3. 修复了密码更新标志位(NeedUpdatePassword)的同步问题

安全建议

对于使用Casdoor的系统管理员，建议：

1. 立即升级到最新版本(1.626.0或更高)
2. 检查现有用户密码是否已正确加密
3. 定期审查密码策略配置
4. 考虑启用密码强度要求和定期更换策略

总结

密码安全是身份管理系统的基石。Casdoor团队快速响应并修复了这个安全问题，体现了对系统安全性的高度重视。作为开源项目用户，及时关注和升级到最新版本是保障系统安全的重要措施。